A vulnerabilidade SolarWinds voltou a chamar a atenção da comunidade de segurança cibernética. A empresa lançou um novo patch de emergência para corrigir uma falha crítica de execução remota de código (RCE) em sua popular ferramenta Web Help Desk (WHD).
A falha, identificada como CVE-2025-26399, permite que atacantes explorem o sistema sem autenticação, abrindo espaço para o controle remoto total do servidor afetado.
Este artigo explica em detalhes o que é a vulnerabilidade, por que ela é tão grave — especialmente considerando que esta é a terceira tentativa de correção do mesmo problema — e o passo a passo que administradores e equipes de TI devem seguir para aplicar o hotfix imediatamente.
O alerta é urgente: a falha original já havia sido adicionada ao catálogo KEV da CISA, confirmando que criminosos cibernéticos a utilizam em ataques ativos.
O que é a vulnerabilidade CVE-2025-26399?
A falha CVE-2025-26399 é uma vulnerabilidade de execução remota de código (RCE), considerada uma das formas mais perigosas de ataque.
Na prática, isso significa que um invasor pode executar comandos arbitrários diretamente no servidor vulnerável, sem a necessidade de credenciais válidas.
O problema decorre de uma desserialização insegura no componente AjaxProxy do Web Help Desk, permitindo que dados maliciosos sejam processados e usados para comprometer todo o ambiente.
Por ser um ataque sem autenticação, o risco aumenta exponencialmente, já que não há barreiras iniciais para impedir a exploração.
Um histórico preocupante: a terceira tentativa de correção
A nova falha não surgiu do zero: trata-se de um desvio de patch das vulnerabilidades anteriores CVE-2024-28988 e CVE-2024-28986.
Em outras palavras, mesmo após correções anteriores, pesquisadores identificaram que ainda era possível explorar a brecha com ajustes mínimos, o que expõe fragilidades nos mecanismos de mitigação aplicados pela empresa até então.
O fato de a falha original ter sido incluída no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA reforça a gravidade da situação. Isso significa que a vulnerabilidade já foi usada em ataques reais contra organizações.
A descoberta deste novo bypass foi atribuída à Trend Micro Zero Day Initiative (ZDI), um dos programas mais respeitados de identificação de falhas, o que aumenta a credibilidade e a urgência da correção.
Passo a passo: como aplicar o hotfix e proteger seu sistema
Para corrigir a vulnerabilidade, a SolarWinds disponibilizou um hotfix que só pode ser aplicado em servidores que já estejam rodando a versão 12.8.7 do Web Help Desk.
Veja o passo a passo para aplicar a correção com segurança:
- Pare o serviço do Web Help Desk.
- Navegue até o diretório:
<WebHelpDesk>/bin/webapps/helpdesk/WEB-INF/lib/. - Faça backup e exclua o arquivo c3p0.jar.
- Faça backup (em um local seguro e separado) dos arquivos whd-core.jar, whd-web.jar e whd-persistence.jar.
- Copie os novos arquivos .jar fornecidos no hotfix para o diretório /lib, substituindo os existentes e adicionando o novo HikariCP.jar.
- Reinicie o serviço do Web Help Desk.
O hotfix já está disponível para download no Portal do Cliente SolarWinds.
É altamente recomendado que o processo seja feito em ambiente controlado e validado após a aplicação para garantir que não haja interrupções inesperadas nos serviços.
Conclusão: não espere, atualize agora
A vulnerabilidade SolarWinds é classificada como crítica e o histórico de falhas recorrentes aumenta ainda mais a urgência da situação.
As tentativas anteriores de mitigação não foram suficientes, e o CVE-2025-26399 deixa claro que os atacantes continuam a explorar brechas no Web Help Desk.
Se você administra ou utiliza a ferramenta em seu ambiente corporativo, não há margem para postergação: aplique o hotfix imediatamente para proteger sua organização de possíveis ataques e reduzir riscos de comprometimento grave.
A mensagem é direta: não espere, atualize agora.
